Solaris 10 OS 对 PAM 所做的更改

在 Software Express 试点计划中添加了新的 pam_deny 模块，在 Solaris Express 6/04 版本中，又增强了此模块的功能。Solaris 10 3/05 发行版中也包含此功能。此模块可用于拒绝对命名的 PAM 服务的访问。缺省情况下，不使用 pam_deny 模块。有关更多信息，请参见 pam_deny(5) 手册页。

Solaris 10 软件对 PAM 框架所做的更改如下：

• pam_authtok_check 模块现在可以使用 /etc/default/passwd 文件中新的可调参数进行严格的口令检查。新的可调参数定义了如下内容：

  • 一个逗号分隔的字典文件列表，这些字典文件用于检查口令中的常用字

  • 新口令与旧口令之间所需的最小差别

  • 新口令中必须用到的字母字符和非字母字符的最少个数

  • 新口令中必须用到的大写字母和小写字母的最少个数

  • 允许的连续重复字符的个数

  • 新口令中必须用到的数字的个数

  • 新口令中是否允许空格

• pam_unix_auth 模块实现了本地用户的帐户锁定。帐户锁定由 /etc/security/policy.conf 中的 LOCK_AFTER_RETRIES 可调参数和 /etc/user_attr 中的 lock_after-retries 密钥来启用。

• 定义了一个新的 binding 控制标志。如果 PAM 模块运行成功，并且带有 required 标志的上述模块都运行成功，则 PAM 跳过其余模块，验证请求成功。但是，如果返回失败消息，则 PAM 记录必要的失败信息，然后继续处理堆栈。在 pam.conf(4) 手册页中可以找到有关此控制标志的介绍。

• pam_unix 模块已被删除，并由一组功能相同或功能更强的服务模块所取代。这些模块多数是 Solaris 9 系统中的新增功能。替换模块列表如下：

  • pam_authtok_check

  • pam_authtok_get

  • pam_authtok_store

  • pam_dhkeys

  • pam_passwd_auth

  • pam_unix_account

  • pam_unix_auth

  • pam_unix_cred

  • pam_unix_session

• pam_unix_auth 模块已被分解为两个模块。pam_unix_auth 模块现在可以验证用户的口令是否正确。新的 pam_unix_cred 模块提供了建立用户凭证信息的功能。

• 对 pam_krb5 模块进行扩充是为了使用 PAM 框架来管理 Kerberos 凭证高速缓存。请参见Kerberos 增强功能。